DNS 伺服器安全:Gandi 如何协助企业採用 ANSSI 的建议
法国国家网路安全局 ANSSI(原文全名为 Agence nationale de la sécurité des systèmes d’informations)(英文连结)的职责是透过公开出版刊物为企业提供建议和分享最佳作法。自 2017 年开始,法国国家网路安全局便在这些出版刊物中分享了一系列关于域名取得和使用的建议,并在一份完整指南中列出选择域名註册商时的关键要点(英文连结)。
Gandi 企业客户服务团队以四篇一系列的文章,向您介绍如何透过不同机制符合安全局提出的各项建议。
特别着重在 DNS 上,我们在前两篇文章中,已经与您分享了关于 DNS 安全的五个关键要点以及 DNS 伺服器恢復性。以下列出基于 DNS 安全,选择伺服器时需要考量的 5 点建议:
ANSSI 提供了 5 项关于伺服器管理与恢復性建议
建议 11. 可于一般操作时提高 TTL 数值
「可在一般操作模式下调整 TTL 至相对较高的数值。」
「DNS 纪录的缓存生命週期指的是在查询 DNS 伺服器的设备上,纪录保存的最长时间。如果超过这个时间,设备应认定缓存资料已过期,重新向权威伺服器查询 DNS 纪录。其建议週期为 1 小时至 2 天内。」引用自国家网路安全局
Gandi 企业客服团队提供的安全解决方案:
存留时间(TTL,time to live)代表的是 DNS 纪录的缓存生命週期。Gandi 企业服务可以针对不同需求,让您精准设定 TTL 。
ANSSI 建议的 TTL 週期约为 1 小时至 2 天内。这也是 Gandi 企业客服团队将 TTL 自动预设为 10,800 秒 (即 3 小时) 的原因。
我们建议您保留这项设定,不过 Gandi 企业客服团队也提供可在以下范围内修改的 TTL 数值:
- 可设定最短为 300 秒。
- 可设定最长为 30 天。
这些变更应仅在特定情况使用,例如当您变更服务时。
建议 12. 备份区域档内容
「可供定期备份 DNS 区域档内容。」
Gandi 企业客服团队提供的安全解决方案:
DNS 区域档内容是您资讯服务的基础,因此定期备份是相当重要的。Gandi 企业客服团队提供您以下 3 种备份方式:
- 直接使用管理介面上 LiveDNS 名称伺服器的区域档备份功能。一键就能随时备份区域档内容,或是从备份清单中復原区域档。
您至多可以保存 20 个区域档备份,且无时间限制。同时,基于安全考量,系统预设在每一次修改区域档纪录前都会进行备份。
- 透过 LiveDNS API 自动备份
- 透过管理介面的区域档纪录汇出功能,即能建立自己的备份资料。
建议 13.监控权威伺服器健康度
「设置自动化系统监控权威伺服器以及上层伺服器所提供之数据。」
Gandi 企业客服团队提供的安全解决方案:
ANSSI 建议企业监控特定区域档的权威伺服器。假设一间公司的域名为 “example.net”,则应监控管理该域名区域档的权威伺服器健康度。
为满足这项基本监控需求,Gandi 企业客服团队使用多种内部及外部服务监控管理客户区域档的权威伺服器。且这些服务也能安装于您的监控设备上。
建议 14.使用多种不同软体
「在一域名的所有权威伺服器上,至少使用两种不同的 DNS 伺服器软体。」
Gandi 企业客服团队提供的安全解决方案:
Gandi 企业客服团队仅使用单一软体组件。负责 DNS 伺服器的团队致力于监控软体,且为保证伺服器安全更採用更新政策与非回归测试。
建议 15. 使用不同伺服器来回应域名查询与储存区域档资讯
「名称伺服器的查询服务应由单一伺服器回应,或将其与域名的权威伺服器程序区分开来。」
Gandi 企业客服团队提供的安全解决方案:
目前有两种类型 DNS 伺服器:
- 权威伺服器:即 Gandi 企业客服团队所使用 liveDNS 伺服器。这些名称伺服器储存域名 DNS 纪录,同时回应针对这些域名的查询。
- 递迴/缓存伺服器:这类型伺服器不管理 DNS 区域档。它们透过向其他 DNS 伺服器发出新的查询,或者缓存资料来回应收到的域名查询。
两种类型的伺服器皆会回复 DNS 查询,但是运作方式不同。伺服器通常是递迴或是权威其中一个,鲜少两者兼具。因此 ANSSI 建议安装在伺服器上的软体应该以递迴或权威其中一种方式运作,避免发生像是缓存数据损坏的问题。
而这就是为什麽 Gandi 企业客服团队的 LiveDNS 仅作为权威伺服器的原因。
透过回应这 5 项建议,使我们能够向您重点介绍 Gandi 企业客服团队在管理域名时採取的各项 DNS 安全措施。欲了解更多讯息,请随时与您的专属客户经理联繫,或写信至 corporatecontact@gandi.net。
ANSSI 的最后 5 点建议将于近期发佈。我们邀请您定期查看我们的企业户新闻,阅读接下来的系列文章、随时掌握域名最新资讯。
Tagged in corporate